killvxk/analyzing-heap-spray-exploitation
skills/analyzing-heap-spray-exploitation/SKILL.md
使用 Volatility3 插件在内存转储中检测和分析堆喷射攻击,识别 NOP sled 模式、shellcode 落地区域以及进程虚拟地址空间中的可疑大型分配。
$ install --global
skillsauthnpx skillsauth add killvxk/cybersecurity-skills-zh analyzing-heap-spray-exploitationInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 16, 2026, 10:47 PM11.9s3 files scanned
SKILL.md
- name:
- analyzing-heap-spray-exploitation
- description:
- 使用 Volatility3 插件在内存转储中检测和分析堆喷射攻击,识别 NOP sled 模式、shellcode 落地区域以及进程虚拟地址空间中的可疑大型分配。
- domain:
- cybersecurity
- subdomain:
- malware-analysis
- tags:
- [malware-analysis, memory-forensics, heap-spray, volatility3, exploit-analysis]
- version:
- 1.0
- author:
- mahipal
- license:
- Apache-2.0
分析堆喷射(Heap Spray)利用
概述
堆喷射(Heap Spray)是一种利用技术,将攻击者控制的数据(通常是 NOP sled 后跟 shellcode)填充到进程堆的大面积区域,以提高代码执行漏洞利用的可靠性。本技能涵盖使用 Volatility3 的 malfind、vadinfo 和 memmap 插件在内存转储中检测堆喷射工件、识别可疑连续内存分配、扫描 NOP sled 模式(0x90、0x0c0c0c0c)以及提取嵌入的 shellcode 进行分析。
前置条件
- Python 3.9+,安装
volatility3框架 - 内存转储文件(.raw、.vmem、.dmp 格式)
- 了解虚拟内存布局和 VAD(虚拟地址描述符)树
- 熟悉常见的 shellcode 模式和 NOP sled 编码
工作流程
步骤 1:识别可疑进程
使用 Volatility3 的 windows.malfind 扫描具有可执行注入内存区域的进程。
步骤 2:分析 VAD 条目
使用 windows.vadinfo 检查 VAD 树条目,查找具有 RWX 权限的大型连续分配。
步骤 3:扫描 NOP Sled 模式
在可疑内存区域中搜索 NOP sled 签名(0x90 序列、0x0c0c0c0c 模式)。
步骤 4:提取和分析 Shellcode
转储可疑内存区域,使用字节模式分析识别 shellcode。
输出格式
JSON 报告,包含可疑进程、堆喷射指标、NOP sled 位置、内存区域大小和提取的 shellcode 哈希值。
Related Skills
killvxk/conducting-social-engineering-penetration-test
testing
VerifiedTrustedCommunity
设计并执行社会工程学渗透测试,包括钓鱼、语音钓鱼、短信钓鱼和物理借口活动,以衡量人员安全韧性并识别培训差距。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-post-incident-lessons-learned
testing
VerifiedTrustedCommunity
主持结构化的事件后审查,以识别根本原因、记录有效和无效的措施,并提出可操作的改进建议以提升未来的事件响应能力。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-phishing-incident-response
testing
VerifiedTrustedCommunity
通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-pass-the-ticket-attack
tools
VerifiedTrustedCommunity
票据传递(Pass-the-Ticket,PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话以模拟票据所有者。
10SKILL.mdUpdated Apr 29, 2026